W poniedziałek 25 maja 2020 r. minęły dwa lata od wejścia w życie Rozporządzenia RODO. W ciągu tego okresu Prezes UODO wystosował wobec podmiotów naruszających postanowienia RODO administracyjne kary pieniężne w wys. od 20 tys. zł do prawie 3 mln zł. Warto również wspomnieć, iż jedna z kontroli dotyczących przestrzegania RODO skończyła się podejrzeniem popełnienia przestępstwa z art. 108 ust. 1 ustawy o ochronie danych osobowych. Prokuratura Rejonowa w Katowicach skierowała już w tej sprawie akt oskarżenia przeciwko prezesowi kontrolowanej spółki do sądu.
Gdy RODO wchodziło w życie podejrzewano, że podmiotami, które w pierwszej kolejności mogą liczyć się z sankcją będą podmioty, które nie powzięły żadnych kroków w celu dostosowania się do nowych przepisów. Tymczasem kary dotykają również podmioty które błędnie dostosowały się do RODO, albo dopuszczają się naruszeń i zaniedbań – przykładem są postępowania wobec dwóch sp. z o.o. z branży sprzedaży Internetowej oraz wywiadowni gospodarczej. Co, ciekawe jedna z pierwszych kar dotyczyła podmiotu współpracującego z wieloma firmami z branży faktoringowej.
Jakie potencjalne niedopatrzenia popełniają firmy faktoringowe przy stosowaniu przepisów RODO? Pozwoliłem sobie na kilka subiektywnych spostrzeżeń.
- Obowiązek informacyjny
Zgodnie z art. 12 ust. 1 zd. 2 RODO domyślną formą udzielania informacji osobom, których dane są przetwarzane, jest forma pisemna. RODO przewiduje jednakże również możliwość korzystania z innych, niesprecyzowanych środków – w tym drogi elektronicznej. Niewątpliwie obowiązek informacyjny z art. 13-14 RODO to jeden z najważniejszych obowiązków wynikających z RODO dla firm faktoringowych. Na tym polu można doszukać się pewnych niedopatrzeń. Jakich?
Nietransparentne i trudno dostępne komunikaty
Informacje udzielane osobie, której dane są przetwarzane, muszą być dla niej przede wszystkim łatwo dostępne. Oznacza to, że miejsce i sposób dostępu do informacji powinny być instynktowne, bez zbędnego przeczesywania całej strony internetowej. Spora część firm faktoringowych nie wyodrębnia informacji dot. ochrony danych osobowych od polityki prywatności. Powstaje wówczas ,,ściana tekstu”, pośród której nie tak łatwo znaleźć informacje odnoszące się do przetwarzania danych osobowych. Podmioty, które decydują się na taki zabieg, powinny wyraźnie wyodrębnić, np. poprzez pogrubienie i zwiększenie czcionki tekstu, moment, w którym zaczynają się informacje odnoszące się do ochrony danych osobowych.
używanie wieloznacznych sformułowań
Informacje o ochronie danych osobowych powinny być dla podmiotu, którego dotyczą nie tylko łatwo dostępne lecz także jasne, zrozumiałe i sformułowane przy użyciu prostego języka – nie należy posługiwać się zbyt prawniczym, specjalistycznym, czy technicznym językiem, co można zauważyć w praktyce niektórych firm. Zgodnie z wytycznymi Grupy Roboczej Art. 29 w sprawie przejrzystości na podstawie rozporządzenia 2016/679 należy przede wszystkim ograniczać używanie wyrazów wieloznacznych. Jeżeli administratorzy danych postanowią używać bardziej wieloznacznych sformułowań, zasada rozliczalności wymaga, aby byli w stanie wykazać, dlaczego nie można było uniknąć stosowania takich sformułowań i że nie wpływają one na rzetelność przetwarzania.
brak kategoryzacji informacji na poziomie różnych podmiotów
Przyglądając się praktyce firm faktoringowych w zakresie udzielania informacji o ochronie danych osobowych można zauważyć, że wiele z nich podaje informacje odnoszące się do nieskonkretyzowanych podmiotów – brak jest wyodrębnienia, której grupy podmiotów praw mających styczność z usługą faktoringu dotyczą dane informacje. Tymczasem transakcja faktoringowa może obejmować przetwarzanie danych osobowych nie tylko faktoranta (cedenta) ale i jego reprezentantów i pracowników, odbiorcy (kontrahenta) faktoringowego oraz jego pracowników wskazanych jako osoby kontaktowa do potwierdzania salda, a nawet poręczycieli, małżonków faktorantów itp. Nie ma możliwości aby wszystkie te informacje „upchnąć” w jednym komunikacie bez wskazania na odmienności (zarówno cele przetwarzania jak i sposoby pozyskania danych). Wskazane jest opracowanie kilku informacji. Oczywiście można polemizować z tym, na ile wszystkie z nich winny znajdować się na stronie Internetowej faktora. Ta kwestia jest dyskusyjna. Bezspornie kluczowe jest jednak zapewnienie dostępności komunikatów rodzajowych dla każdego z podmiotu praw. Jeśli zatem np. przy deklaracji poręczyciela wekslowego na jej odwrocie znajduje się informacja o przetwarzaniu danych osobowych poręczyciela to OK. Zawsze można jednak zadać sobie pytanie – czy można zrobić coś więcej? Wydaje się ze dla zachowania buforu bezpieczeństwa (zawsze istnieje ryzyko że gdzieś zapomniano załączyć informacji o przetwarzaniu danych osobowych) nie lepiej udostępniać wszystkie kategorie komunikatów na stronie głównej faktora w dedykowanej zakładce poświęconej przetwarzaniu danych osobowych. W mojej ocenie takie rozwiązanie jest nie tylko bezpieczne, transparentne ale i wygodne – w razie bowiem zmiany (aktualizacji) treści komunikatu zostanie zawsze zagwarantowany dostęp dla podmiotów praw do aktualnej jego treści. Warto zatem zastrzec w komunikacie, iż aktualna jego treść jest zawsze dostępna w dedykowanej zakładce na stronie www i utrzymywać tam aktualną treść komunikatów.
pomijanie art. 14 RODO
Część podmiotów pomija odmienność treści przepisów art. 13-14 RODO, pomijając obowiązek wynikający z art. 14 RODO, zwłaszcza zapominając o sytuacji pozyskania danych osobowych pod pomiotów trzecich (np. pośrednik). Powyższe jest widoczne również na poziomie RCP.
- Pominięcie zmian przepisów i wytycznych
RODO i długo nic? Nie koniecznie. Po wejściu w życie RODO akcja legislacyjna nie skończyła się. Uchwalono nową ustawę o ochronie danych osobowych, znowelizowano ją ustawą z dnia 21.02.2019 r. Wydano szereg wytycznych, wyjaśnień, stanowisk. Wiele z nich doprecyzowało kwestie nieznane na 25.05.2020 r. również w zakresie komunikatów, stron www, przetwarzania danych w określonych segmentach. Co więcej, pojawiły się też nowe rozwiązania prawne stanowiące metodę / źródło stałego przetwarzania danych – np. Biała Lista Podatników VAT, Centralny Rejestr Beneficjentów Rzeczywistych itp. Dokumentacja i procedura powinna uwzględniać aktualny stan wiedzy, a nie tylko ten na 25.05.2018 r.
- Pominięcie oceny skutków przetwarzania danych (DPiA)
RODO nakłada na administratorów obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPiA) w przypadku, gdy dany rodzaj przetwarzania ,,może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Celem DPIA jest systematyczne analizowanie nowych sytuacji, które mogłyby prowadzić do wysokiego ryzyka naruszeń praw i wolności osób fizycznych. Znaczna część faktorów nie wykonała żadnej DPiA, część wykonywała je w ramach wdrażania RODO. Lepiej prezentuje się tu sektor bankowy który te kwestie oceniał kompleksowo, jak sektor mocno regulowany.
W dniu 8.07.2019 roku został ogłoszony Komunikat PUODO z dnia 17.06.2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Na Blogu pisaliśmy o nim tutaj. Wykaz ten pozwala firmom faktoringowym dokonać oceny, które z prowadzonych przez nie czynności przetwarzania danych osobowych wymagają przeprowadzenia takiej analizy.
Firmy faktoringowe powinny przyjrzeć się następującym czynnością pod kątem analizy DPIA:
- wykonywanie czynności automatycznej oceny zdolności finansowej klienta, z wykorzystaniem sztucznej inteligencji i tzw. automatów scoringowych oraz żądanie ujawnienia danych niemających bezpośrednio związku z oceną zdolności finansowej;
- uzależnienie decyzji o finansowaniu / przyznaniu limitu faktoringowego na podstawie informacji zawartych w bazach zawierających informacje o dłużnikach lub podobnych bazach danych;
- profilowanie klientów – w szczególności na podstawie aspektów dotyczących sytuacji ekonomicznej, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą. Dot. także profilowania pośredniego, które polega na ocenie osoby/klienta na podstawie przynależności do określonej grupy i w związku z tym oferowanie takiej osobie korzystniejszych warunków.
- funkcjonowanie systemów służących do zgłaszania nieprawidłowości (whistleblowing) – w szczególności, gdy przetwarzane są w nim dane pracowników, zwłaszcza na dużą skalę i elektronicznie;
- zbieranie danych o przeglądanych stronach, wykonywanych operacjach bankowych, zakupach w sklepach internetowych, a następnie ich analiza w celu tworzenia profilu osoby;
- monitorowanie czasu pracy pracowników oraz przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, Internetu);
- monitorowanie lokalizacji pracownika w szczególności w kontekście pracy w domu i pracy wykonywanej zdalnie;
- przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, np. systemy rozpoznawania twarzy, weryfikacja tożsamości w miejscu pracy w celu kontroli dostępu, weryfikacja tożsamości w urządzeniach/ aplikacjach (wliczając rozpoznawanie głosu, odcisków palców, twarzy);
- wykorzystywanie aplikacji z funkcjami komunikowania się i oprogramowaniem umożliwiającym wymianę informacji z najbliższym otoczeniem oraz zdalnie poprzez sieć telekomunikacyjną – tj. m.in. stosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne.
Każda z firm powinna zatem ocenić czy stosuje ww. rozwiązania oraz czy powinna poddać je ocenie DPiA.
- Wdrożenie RODO i… nie robienie nic
Część podmiotów po dniu 25.05.2018 r. nie zrobiła już nic więcej poprzestając na staraniach podjętych przed wejściem w życie przepisów. Niektóre firmy nie aktualizują nawet RCP. Tymczasem środki zastosowane przed podmiot w celu zapewnienia bezpieczeństwa przetwarzania powinny być regularnie sprawdzane pod względem skuteczności i aktualizowane, co wynika wprost z art. 24 pkt. 1 RODO, które wyraźnie wskazuje, iż wdrożone środki techniczne i organizacyjne należy w razie potrzeby poddawać przeglądom i uaktualnieniom.
Firmy – zwłaszcza przetwarzające dane na dużą skalę – powinny przynajmniej aktualizować procesy i procedurę oraz stosowane wzorce o omówione powyżej zmiany i wytyczne, aktualizować dokumenty (w tym RCP), prowadzić szkolenia, dokonywać okresowych audytów, przeglądów, stosować nowe środki i rozwiązania zgodne z RODO, dokonywać oceny pod kątem DPiA. W celu uniknięcia błędów, które skutkować mogą nałożeniem kary pieniężnej przez Prezesa UODO na podmiot przetwarzający dane warto przeprowadzić audyt zgodności z RODO, który pozwoli zobrazować w jaki sposób i jakie dane osobowe są przetwarzane przez podmiot. Szczególnie korzystne jest wykonywanie audytów, przeglądów 1-2 letnich co sprzyja wyłapywaniu błędów, korygowaniu ich i zapewnieniu zgodności z RODO, tak jak winno to funkcjonować w rzetelnym systemie compliance. Ważnym, choć nieobligatoryjnym elementem audytu RODO jest mapowanie procesów przetwarzania danych, za pomocą którego podmiot uzyska m.in. informacje o tym na jakiej podstawie prawnej przetwarzane są dane osobowe oraz komu są one powierzane. Przyczyni się to do sprawniejszego przygotowania RCP, do którego prowadzenia administrator zobowiązany jest na mocy art. 30 RODO i za który jest on odpowiedzialny.
- Podsumowanie
Ogromny zakres zmian przepisów dla branży faktoringowej z ostatnich lat nie powinien być wymówką dla braku oceny, aktualizacji i doskonalenia systemu przetwarzania danych osobowych przez firmy z branży faktoringowej. Rzetelny system compliance (którego powstanie wymusiły zmiany z ostatnich lat) wymaga aby przetwarzanie danych osobowych było systemem aktywnym, a stwierdzone błędny były naprawiane niezwłocznie. Pierwsze 2 lata obowiązywania RODO pozwoliły na wyłapanie części z nich, zatem jest to świetny moment na dokonanie audytu / przeglądu stosowanych procesów i dokumentów, do czego zachęcamy, również korzystając z pomocy podmiotów zewnętrznych. W tym przypadku znajomość specyfiki branży faktoringowej jest istotna, bowiem przetwarzanie danych osobowych w procesie faktoringu wiąże się z koniecznością uwzględnienia szczególnej charakterystyki takiej transakcji związanej z cesją i uczestnictwem różnych podmiotów na różnych etapach.
W tekście celowo pominięto budzący nadal wiele wątpliwości wątek przetwarzania danych osobowych uczestników transakcji faktoringowych w ramach faktoringu cichego.
Powyższa ocena ma charakter subiektywny i wynika z własnej oceny rozwiązań RODO pod kątem branży faktoringowej przez autora tekstu.